Update - Kritische Sicherheitslücke in Pulse Connect Secure - Patches verfügbar

21. April 2021

Update: 4. Mai 2021

Beschreibung

Pulse Secure hat ein Out-Of-Cycle Advisory zu einer kritischen Sicherheitslücke in Pulse Connect Secure veröffentlicht, die das Ausführen von beliebigem Code ermöglicht.

CVE-Nummer: CVE-2021-22893

CVSS Base Score: 10

Auswirkungen

Die Sicherheitslücke ermöglicht entfernten AngreiferInnen potentiell das Ausführen von Schadcode über derzeit nicht näher spezifizierte Angriffsvektoren und wird aktuell aktiv ausgenützt.

Betroffene Systeme

Betroffen sind laut Pulse Secure die folgenden Versionen:

  • Pulse Connect Secure 9.0R3 und höher

Abhilfe

Deaktivieren von Windows File Share Browser und Pulse Secure Collaboration mittels Importieren der von Pulse Secure bereitgestellten XML-Datei (siehe Advisory). Für die Versionen 9.0R1 - 9.0R4.1 bzw. 9.1R1-9.1R2 ist zuvor ein Update auf eine höhere Version notwendig. FireEye hat außerdem YARA- bzw. Snort-Rules auf github veröffentlicht.

Ein Update (Version 9.1R.11.4), welches die Lücke schließen soll, wird für Anfang Mai erwartet. Ein genaues Datum ist derzeit nicht bekannt.

Update: 4. Mai 2021

Die Patches wurden am 3. Mai 2021 veröffentlicht, wie Pulse Secure in einem Blogpost bekanntgab. Sie sind nun auch im Advisory verlinkt.

Hinweis

Pulse Secure hat mit Pulse Connect Secure (PCS) Integrity Assurance ein Tool zur Verfügung gestellt, mit dem sich die Integrität unterstützter Pulse Connect Secure Installationen überprüfen lässt.

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Security Advisory von Pulse Secure (Englisch)
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/

Golem Artikel
https://www.golem.de/news/remote-code-execution-angriffe-auf-vpn-geraete-von-pulse-secure-2104-155880.html

Blogpost von FireEye (Englisch)
https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html

Pulse Secure Security Update Blog (Englisch)
https://blog.pulsesecure.net/pulse-connect-secure-security-update/

Pulse Connect Secure Integrity Assurance (Englisch)
https://kb.pulsesecure.net/pkb_mobile#article/l:en_US/KB44755/s

YARA/Snort Rules
https://github.com/fireeye/pulsesecure_exploitation_countermeasures

Update: 4. Mai 2021

Pulse Secure Blog zur Verfügbarkeit der Patches (Englisch)
https://blog.pulsesecure.net/pulse-connect-secure-patch-availability-sa44784/